於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。
針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。
2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。
目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。
本文同步刊登於TIPS網站(https://www.tips.org.tw/)
繼陳水扁總統於元旦宣示兩岸經貿改採「積極管理、有效開放」後,行政院於 3 月 22 日 的院會中通過兩岸經貿「積極管理、有效開放」配套機制方案,方案執行面向涵蓋經濟、農業、金融、人員及小三通等經貿往來層向,建立管理目標及機制。其中在經濟類部分,為強化對大陸投資之有效管理,企業赴大陸地區超過一定金額或涉及敏感科技的重大投資案,增設「政策面審查」, 但方案中並未進一步指出一定金額與敏感性產業的定義。 經經濟部邀集陸委會等相關單位,討論積極管理配套措施中的「重大投資案」界定標準,會中決定政府將參考國內廠商設立晶圓廠的投資規模,制定相關審查辦法,將 1 億美元以上或涉及敏感科技的投資案,進行「兩階段審查」,即政策面審查及投審會委員會議審查,並列舉需要經過政策面審查的產業。 所謂政策面審查,依據行政院大陸委員會發布的「兩岸經貿『積極管理、有效開放』配套機制」指出,是由政府邀請企業負責人及經理人,就企業財務計畫、技術移轉、輸出設備、在台相對投資等項目進行協調,在確定企業具體承諾,並由業者出具同意政府於必要時將進行大陸投資事項實地查核的承諾書後,再送投審會開會審查。經濟部表示,業者經核准進行大陸投資後,主管機關應分別針對母公司在國內持續投資與技術升級情況、廠商在大陸營運及增資、擴廠情形,持續追蹤管理,主管機關於必要時並將赴中國實地查核,以落實積極管理。 行政院表示,配套機制方案大部份是強調現行作業的「強化管理措施」,至於相關部會提出新增或應加強的執行事項,原則上應在今( 95 )年 6 月 30 日前完成,涉及修法及建置資料庫的部分,應在今年年底前執行或規劃完成。
「數位藥丸(digital pill)」新運用英國航空公司(British Airways)近來對數位藥丸申請了專利,並且調查乘客是否願意吞食數位藥丸,使空服員得對其提供更好的服務。 該數位藥丸以主要是一個可食用的偵測系統,藉此航空公司得以知悉乘客的身理狀況,包含偵測乘客的心跳、體溫、或是否處於睡眠等生理反應,航空公司便可據此調整基上的的燈光、用餐時間以及機上娛樂設施等等。這一整套「為了提升乘客旅遊品質」的系統現在被寫成專利申請書,並於2016年提出英國航空公司表示利用不同的資料可以幫助機員了解乘客是醒或睡、是否緊張、冷熱或感到不舒適,並通知機員。依據其專利申請書,英國航空希望創造一個App,協助乘客改善整體旅遊品質,不僅是在機上,而是乘客從踏出家門開始到旅程結束,均能享受此科技之便利。
英國資訊委員辦公室首次對違反資料保護案件開罰英國資訊委員辦公室(Information Commissioner’s Office,ICO)於今(2010)年11月24日首次對違反資料保護案件開罰。 賀福郡理事會(Hertfordshire County Council)員工在今年6月兩度將載有高度敏感性資料的文件傳真予錯誤的收件人。ICO經調查後認定,由於賀福郡理事會未能防止兩次資料外洩事件發生,導致嚴重損害,而在首次外洩事件發生後,亦未採取足夠的預防措施避免類似情況發生,因此裁定十萬英鎊之罰鍰。 另一家發生資料外洩事件的人力資源服務公司A4e,則是因其員工將含有兩萬四千筆個人資料的筆記型電腦帶回家後遭竊,且包括個人姓名、出生年月日、郵遞區號、薪資、犯罪紀錄等相關資料並未加密。ICO認為,A4e並未採取適當措施避免資料外洩,且A4e允許其員工將未加密的筆記型電腦帶回家時,已知內含個人資料種類及數量,因此裁定六萬英鎊之罰鍰。 ICO表示,希望本次處罰能對於處理個人資料的機構有所警惕。 ICO今年4月被賦予裁罰權,至於裁罰的標準,則有裁罰指引(fine guidance)可參考。根據裁罰指引,若資料控制者(data controller)故意違反資料保護法(Data Protection Act),或可得而知可能違法之情形,卻未採取適當措施預防之,而可能造成相當損害時,ICO得處以相當罰鍰。
新加坡交易所(SGX)正式推出SPAC上市框架由新加坡政府基金淡馬錫(Temasek)支持的「特殊目的收購公司」(Special Purpose Acquisition Company, SPAC)「Vertex Technology Acquisition Corp.」已於2022年1月20日在新交所掛牌上市,為首家在新加坡上市之SPAC。後續還有由國際發起人發起的「 Pegasus Asia」已於2022年1月21日上市,以及由新加坡基金 Novo Tellus Capital Partners 設立之「Novo Tellus Alpha Acquisition」於2022年1月27日上市。 由於美國2020年、2021年已有許多欲上市之公司採用SPAC制度上市,同時在美國紐約證券交易所(NYSE)及那斯達克(Nasdaq)均獲得巨大的成功,因此各國交易所開始摩拳擦掌,紛紛著手修正上市規則允許SPAC制度以吸引優良企業。 新加坡交易所(SGX)最初於2021年3月底時發布SPAC上市框架諮詢文件,並於同年9月2日公布該諮詢文件之回覆意見及結論,並同時修正主板上市規則,允許SPAC於同年9月3日在新加坡主板上市。 SGX說明超過80名受訪者(包含金融機構、投資銀行、私募股權和風險投資基金、企業、一般投資人、律師、會計師和其他利益相關者)回覆SPAC上市框架諮詢文件,該回覆率為近年來之最高,可見SPAC制度之熱潮。 新加坡SPAC上市框架規定SPAC公司須符合以下條件: SPAC公司須至少擁有1.5億新加坡幣市值; SPAC公司須於IPO後24個月內完成收購未上市公司,僅於符合特定條件下最多再延長12個月; SPAC公司收購未上市公司時,需經過50%以上獨立董事同意及50%以上獨立股東同意; 所有獨立股東均享有異議股東股份收買請求權; 贊助人需至少認購IPO發行股份/認股權證總額之2.5%-3.5%(具體比例將依據SPAC公司市值判斷) 於IPO後至SPAC公司收購未上市公司前,禁止贊助人讓售所持有之股份 後續新加坡SPAC發展及併購值得繼續觀察。